Como identificar qual pessoa com acesso raiz matou um trabalho / processo de um pool

0

Eu estava curioso para saber se há 3 ou 4 pessoas que tenham acesso root a um nó. uma pessoa iniciou um trabalho para correr, mas alguém matou o trabalho que estava sendo executado. qual seria a melhor maneira de identificar a pessoa que matou o trabalho / processo porque cada corpo tem acesso root.

linux unix bablu
fonte
1
Verificar com o último comando do qual o IP está logado o usuário no tempo ou processo morto
Romeo Ninov
1
Por favor, não crie vários posts na rede SE. As perguntas podem ser migradas se precisarem ser. Você pode sinalizar sua própria pergunta, marcar "precisa de atenção do moderador" e informar o motivo pelo qual gostaria de migrar sua pergunta. Aqui está sua pergunta sobre SO: stackoverflow.com/a/30245298/816536
Cfinley

Respostas:

0

Impossível sem auditoria adequada habilitada. Sem auditoria você só pode adivinhar com base em carimbos de data e hora em quando exatamente o trabalho foi morto (se você tiver essas informações) e quais usuários foram conectados. Eu acho que eles estão logando como usuários normais e usando algo como su ou sudo para se tornar raiz.

Sobre auditoria - basic seria ter um script de login para root que definiria um arquivo de histórico diferente baseado em quem está mudando para root. Para uma auditoria mais sofisticada (o próprio log do kernel que o usuário faz o quê), procure no Google por "auditoria do Linux".

Marki555
fonte